Gestire le credenziali del servizio
Importante
Questa funzionalità è disponibile in anteprima pubblica.
Questo articolo descrive come elencare, visualizzare, aggiornare, concedere le autorizzazioni per le credenziali del servizio ed eliminare le credenziali del servizio, ovvero oggetti a protezione diretta del catalogo Unity che consentono di gestire l'accesso ai servizi cloud esterni.
Vedere anche:
- Per un'introduzione e per informazioni su come creare le credenziali del servizio: Gestire l'accesso ai servizi cloud esterni usando le credenziali del servizio
- Per informazioni su come fare riferimento alle credenziali del servizio nel codice e specificare le credenziali predefinite del servizio per una risorsa di calcolo: usare le credenziali del servizio Catalogo Unity per connettersi ai servizi cloud esterni.
Per eseguire le attività descritte in questo articolo, è necessario soddisfare i requisiti seguenti:
- Un'area di lavoro di Azure Databricks deve essere abilitata per il catalogo Unity.
- Per elencare o visualizzare le credenziali di un servizio, è necessario disporre di uno dei privilegi o dei ruoli seguenti:
BROWSE
privilegio nel catalogo padreCREATE SERVICE CREDENTIAL
nel metastoreACCESS
nella credenziale del servizio- Proprietario delle credenziali del servizio
- Amministratore metastore
- Per eseguire una qualsiasi delle altre attività elencate in questo articolo, è necessario essere il proprietario delle credenziali del servizio o un amministratore del metastore.
- Se si usano comandi SQL per elencare, visualizzare o aggiornare le credenziali del servizio, è necessario calcolare in Databricks Runtime 15.4 LTS o versione successiva. Non esiste alcun requisito di versione di Databricks Runtime se si usa Esplora cataloghi o l'API REST.
Per visualizzare l'elenco di tutte le credenziali del servizio in un metastore, è possibile usare Esplora cataloghi o un comando SQL.
- Nella barra laterale fare clic su Catalogo.
- Nella pagina Accesso rapido fare clic sul pulsante Dati >esterni e passare alla scheda Credenziali.
- Ordinare le credenziali in base allo scopo (ARCHIVIAZIONE o SERVIZIO).
Eseguire il comando seguente in un notebook.
SHOW SERVICE CREDENTIALS;
Per visualizzare le proprietà di una credenziale del servizio, è possibile usare Esplora cataloghi o un comando SQL.
- Nella barra laterale fare clic su Catalogo.
- Nella pagina Accesso rapido fare clic sul pulsante Dati >esterni e passare alla scheda Credenziali.
- Fare clic sul nome di una credenziale del servizio per visualizzarne le proprietà.
Eseguire il comando seguente in un notebook. Sostituire <credential-name>
con il nome della credenziale.
DESCRIBE SERVICE CREDENTIAL <credential-name>;
Per visualizzare le concessioni in una credenziale del servizio, usare un comando simile al seguente. Facoltativamente, è possibile filtrare i risultati in modo da visualizzare solo le concessioni per l'entità specificata.
SHOW GRANTS [<principal>] ON SERVICE CREDENTIAL <service-credential-name>;
Sostituire i valori segnaposto;
<principal>
: indirizzo di posta elettronica dell'utente a livello di account o nome del gruppo a livello di account a cui è stata concessa l'autorizzazione.<service-credential-name>
: nome di una credenziale del servizio.
Nota
Se un gruppo o un nome utente contiene uno spazio o @
un simbolo, usa i segni di spunta indietro intorno a esso (non apostrofi). Ad esempio
, il team
finanziario.
Concedere le autorizzazioni per usare le credenziali di un servizio per accedere a un servizio cloud esterno
Per concedere l'autorizzazione per usare le credenziali di un servizio per accedere a un servizio cloud esterno, completare la procedura seguente. È possibile usare Esplora cataloghi o comandi SQL:
- Nella barra laterale fare clic su Catalogo.
- Nella pagina Accesso rapido fare clic sul pulsante Dati >esterni e passare alla scheda Credenziali.
- Fare clic sul nome di una credenziale del servizio per aprire la pagina dei dettagli.
- Fare clic su Autorizzazioni.
- Per concedere l'autorizzazione a utenti o gruppi, selezionare ogni identità e quindi fare clic su Concedi.
- Selezionare ACCESS per concedere la possibilità di usare le credenziali del servizio per accedere a un servizio o a servizi cloud esterni.
- Selezionare CREATE CONNECTION (CREA CONNESSIONE ) per concedere la possibilità di creare una connessione Lakehouse Federation nel catalogo Unity usando questa credenziale del servizio. Vedere Gestire le connessioni per la federazione lakehouse.
- Per revocare le autorizzazioni a utenti o gruppi, selezionare ogni identità e quindi fare clic su Revoca.
Per concedere l'accesso, eseguire uno dei comandi seguenti in un notebook, sostituendo i valori segnaposto:
<principal>
: indirizzo di posta elettronica dell'utente a livello di account o nome del gruppo a livello di account a cui concedere l'autorizzazione.<service-credential-name>
: nome di una credenziale del servizio.
Nota
Se un gruppo o un nome utente contiene uno spazio, un trattino (-
) o @
un simbolo, usa i segni di spunta indietro intorno a esso (non apostrofi). Ad esempio, `finance team`.
GRANT ACCESS ON SERVICE CREDENTIAL <service-credential-name> TO <principal>;
Se si vuole concedere la possibilità di creare una connessione Lakehouse Federation nel catalogo Unity usando questa credenziale del servizio, usare quanto segue:
GRANT CREATE CONNECTION ON SERVICE CREDENTIAL <service-credential-name> TO <principal>;
Per revocare l'accesso, sostituire GRANT
con REVOKE
in questi esempi.
L'autore di credenziali del servizio è il proprietario iniziale. Per modificare il proprietario in un altro utente o gruppo a livello di account, è possibile usare Esplora cataloghi o un comando SQL.
- Nella barra laterale fare clic su Catalogo.
- Nella pagina Accesso rapido fare clic sul pulsante Dati >esterni e passare alla scheda Credenziali.
- Fare clic sul nome di una credenziale del servizio per aprire la finestra di dialogo di modifica.
- Fare clic accanto a Proprietario.
- Digitare per cercare un'entità e selezionarla.
- Fare clic su Salva.
Eseguire il comando seguente in un notebook. Sostituire i valori segnaposto;
<credential-name>
: nome della credenziale.<principal>
: indirizzo di posta elettronica di un utente a livello di account o nome di un gruppo a livello di account.
ALTER SERVICE CREDENTIAL <credential-name> OWNER TO <principal>;
Per rinominare una credenziale del servizio, è possibile usare Esplora cataloghi o un comando SQL.
- Nella barra laterale fare clic su Catalogo.
- Nella pagina Accesso rapido fare clic sul pulsante Dati >esterni e passare alla scheda Credenziali.
- Fare clic sul nome di una credenziale del servizio per aprire la finestra di dialogo di modifica.
- Rinominare le credenziali del servizio e salvarle.
Eseguire il comando seguente in un notebook. Sostituire i valori segnaposto;
<credential-name>
: nome della credenziale.<new-credential-name>
: nuovo nome per le credenziali.
ALTER SERVICE CREDENTIAL <credential-name> RENAME TO <new-credential-name>;
Per eliminare (eliminare) una credenziale del servizio, è necessario essere il proprietario. Per eliminare una credenziale del servizio, è possibile usare Esplora cataloghi o un comando SQL.
- Nella barra laterale fare clic su Catalogo.
- Nella pagina Accesso rapido fare clic sul pulsante Dati >esterni e passare alla scheda Credenziali.
- Fare clic sul nome di una credenziale del servizio per aprire la finestra di dialogo di modifica.
- Fare clic sul pulsante Elimina.
Eseguire il comando seguente in un notebook. Sostituire <credential-name>
con il nome della credenziale. Le parti del comando racchiuse tra parentesi quadre sono facoltative.
IF EXISTS
non restituisce un errore se la credenziale non esiste.
DROP SERVICE CREDENTIAL [IF EXISTS] <credential-name>;